ポリサー設定のトラブルシューティング

説明

特定の状況下では、Junos OSが、イングレスポリサーによってドロップされたパケットの数を誤解を招くように表示することがあります。

イングレス アドミッション コントロールが原因でパケットがドロップされた場合、ポリサーの統計情報には、イングレス パケット数とエグレス パケット数の差を計算して期待するパケット ドロップ数が示されないことがあります。これは、イングレスポリサーを複数のインターフェイスに適用し、それらのインターフェイスの集約イングレスレートが共通のエグレスインターフェイスのラインレートを超えた場合に発生する可能性があります。この場合、パケットがイングレス バッファーからドロップされる可能性があります。これらのドロップは、ポリサーによってドロップされたパケットの数に含まれないため、ポリサーの統計情報はドロップの総数を過小報告します。

説明

ファイアウォール フィルターの用語を編集する場合、同じフィルター内の任意の用語に関連付けられているカウンターの値は、フィルターが参照するポリサーの暗黙的なカウンターを含め、0 に設定されます。次の例を考えてみましょう。

• フィルターに term1、 term2、および term3があり、各用語には、一致するパケットを既にカウントしたカウンターがあるとします。いずれかの項を何らかの方法で編集すると、すべての項のカウンタが 0 にリセットされます。

• フィルターに term1 と term2があるとします。また、 term2 に policer アクション修飾子があり、ポリサーの暗黙のカウンターがすでに 1000 個の一致するパケットをカウントしているとします。term1またはterm2何らかの方法で編集すると、term2 が参照するポリサーのカウンターは 0 にリセットされます。

説明

ファイアウォール フィルターで 128 語を超えるシングル レート 2 カラー ポリサーを適用すると、 show firewall コマンドの出力にポリサーの誤ったデータが表示されます。

説明

スループットをレート制限するようにポリサーを設定し、それをQFX3500スイッチまたはノード上の複数のインターフェイスへのエグレスに適用する場合、ポリサーを適用するインターフェイスによっては、測定された集約ポリシングレートが設定レートの2倍になる場合があります。ポリシング レートの倍増は、ポリサーを複数のインターフェイスに適用し、次の 両方 が当てはまる場合に発生します。

• xe-0/0/0 から xe-0/0/23 の範囲、または xe-0/1/1 から xe-0/1/7 の範囲に、少なくとも 1 つのポリシングされたインターフェイスがあります。

• xe-0/0/24 から xe-0/0/47 の範囲、または xe-0/1/8 から xe-0/1/15 の範囲に、少なくとも 1 つのポリシングされたインターフェイスがあります。

例えば、1Gbpsでトラフィックのレートを制限するようにポリサーを設定し、そのポリサーを(ファイアウォールフィルターを使用して)出力方向のxe-0/0/0およびxe-0/0/24に適用した場合、各インターフェイスは1Gbpsでレート制限され、合計許容スループットは2Gbpsになります。ポリサーをxe-0/1/1およびxe-0/0/24に適用した場合も同じ動作が発生し、各インターフェイスは1Gbpsでレート制限されます。

これらのグループ内の複数のインターフェイスにエグレスで同じポリサーを適用すると、各 グループは 1 Gbps でレート制限されます。例えば、ポリサーを xe-0/0/0 から xe-0/0/4(5 つのインターフェイス)および xe-0/0/24 から xe-0/0/33(10 のインターフェイス)に適用した場合、各グループは 1 Gbps でレート制限され、合計許容スループットは 2 Gbps になります。

別の例を次に示します。ポリサーを xe-0/0/0 から xe-0/0/4 および xe-0/1/1 から xe-0/1/5 (合計 10 個のインターフェイス)に適用すると、そのグループは合計で 1 Gbps にレート制限されます。xe-0/0/24 にもポリサーを適用すると、その 1 つのインターフェイスは 1 Gbps でレート制限され、他の 10 個のインターフェイスは合計で 1 Gbps でレート制限されたままになります。

インターフェイス xe-0/1/1 から xe-0/1/15 は、次のスキームに従って、QSFP+ アップリンク ポートに物理的に配置されます。

• xe-0/1/1 から xe-0/1/3 は Q0 にあります。

• xe-0/1/4からxe-0/1/7はQ1にあります。

• xe-0/1/8からxe-0/1/11はQ2にあります。

• xe-0/1/2からxe-0/1/15は第3四半期にあります。

ポリシング レートの倍増は、ポリサーが出力方向に適用されている場合にのみ発生します。上記のようにポリサーを設定し、入力方向に適用した場合、すべてのインターフェイスで許容される合計スループットは 1 Gbps になります。

説明

ポリサーをフィルター固有に設定できます。つまり、Junos OSは、ポリサーが何回参照されても、ポリサーインスタンスを1つだけ作成します。これを行うと、レート制限が集約されて適用されるため、1 Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを 3 つの異なる用語で参照する場合、フィルタで許可される合計帯域幅は 1 Gbps になります。ただし、フィルター固有のポリサーの動作は、ポリサーを参照するファイアウォール フィルターの用語が TCAM(Ternary Content Addressable Memory)にどのように格納されているかによって影響を受けます。フィルター固有のポリサーを作成し、それを複数のファイアウォール フィルター用語で参照する場合、用語が異なる TCAM スライスに格納されている場合、ポリサーは予想よりも多くのトラフィックを許可します。例えば、1 Gbps を超えるトラフィックを廃棄するようにポリサーを設定し、そのポリサーを 3 つの異なる用語で参照し、3 つの別々のメモリ スライスに格納する場合、フィルターで許容される総帯域幅は 1 Gbps ではなく 3 Gbps になります。

説明

一部のスイッチでは、設定したエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響を与えることがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルターの用語でアクション修飾子として構成されているカウンターなど、カウンターに使用されます。(ポリサーのタイプに関係なく、1つはグリーンパケットに使用され、もう1つは非グリーンパケットに使用されるため、ポリサーは2つのエントリを消費します)。TCAMがいっぱいになると、カウンターを含む条件を持つエグレスファイアウォールフィルターをこれ以上コミットできなくなります。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い果たされます。構成ファイルの後半で、カウンターを含む条件を持つ追加のエグレス ファイアウォール フィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターのどの条件 も コミットされません。

その他の例を次に示します。

• 合計512のポリサーを含み、カウンターを含まないエグレスフィルターを設定するとします。構成ファイルの後半に、10 個の条件を持つ別のエグレス フィルターを含め、そのうちの 1 つにカウンター アクション修飾子を設定します。カウンターに十分な TCAM スペースがないため、このフィルターのどの条件もコミットされません。

• 合計500のポリサーを含むエグレスフィルターを設定すると、1000のTCAMエントリーが占有されるとします。構成ファイルの後半で、次の 2 つのエグレス フィルターを含めます。

  • 20 個の項と 20 個のカウンターでフィルター A。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。

  • フィルター B はフィルター A の後にあり、5 つの項と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(5 つの TCAM エントリが必要ですが、使用可能は 4 つだけです)。